如果将 ArcGIS Enterprise 配置为使用 Microsoft 活动目录中管理的群组和用户,并且处于单个森林中存在多个域的环境中,则 Portal for ArcGIS 将使用活动目录全局目录以获取所有域的用户和群组信息。 但是,如果与 ArcGIS Enterprise 绑定的域控制器未同时用作全局目录,则 Portal for ArcGIS 将无法收集该信息。 例如,只能返回有关 ArcGIS Enterprise 所在域中的用户和群组信息。
如果您的活动目录部署包含多个域控制器,但不是所有的域控制器都配置为全局目录服务器,那么您必须手动指定 ArcGIS Enterprise 使用的一个或多个域控制器。 为此,请执行以下步骤。
- 打开 ArcGIS Portal Directory,并以具有管理员权限的用户身份登录。
ArcGIS Portal Directory URL 地址格式为 https://webadaptorhost.domain.com/webadaptorname/portaladmin。
- 单击安全性 > 配置 > 更新标识存储。
- 在更新标识存储页面上,将以下文本复制并粘贴到用户存储配置对话框中:
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "caseSensitive": "false", "domainControllerAddress": "[IP Address], [alternate IP Address]", "domainControllerMapping": "domain_A.example.com=[IP address], [alternate IP address]; domain_B.example.com=[IP address], [alternate IP address]" } }
视情况,针对 domainControllerAddress 属性可以列出多个 IP 地址。 如果列出了多个 IP 地址,请按优先级将其排序。 您的 ArcGIS Enterprise 门户将尝试与所列出的第一个地址进行通信,仅当第一个地址不可用时,回退到后续地址。
如果您的活动目录环境包括一个森林内的多个域,并且您想要为分配到每个域的域控制器包括 IP 地址,请在用户存储配置和群组存储配置这两个对话框中使用 domainControllerMapping 参数。 您可以为每个域列出多个 IP 地址。
- 如果门户将使用现有 Active Directory 群组,请将以下文本复制并粘贴到群组存储配置对话框中:
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "domainControllerAddress": "[IP Address], [alternate IP Address]", "domainControllerMapping": "domain_A.example.com=[IP address], [alternate IP address]; domain_B.example.com=[IP address], [alternate IP address]" } }
- 使用相应的值更新 userPassword 和 user 属性(必填),以及 domainControllerAddress 和 domainControllerMapping 属性(选填)。
- 单击更新配置保存配置。